GDPR e intelligenza artificiale: come adeguarsi per una corretta gestione dei dati

Daniel Casarin

Pubblicato da Daniel Casarin

intelligenza artificiale e gdpr

Grazie all'intelligenza artificiale, le macchine possono imparare dall'esperienza, adattarsi a nuovi input e svolgere compiti specifici senza l'intervento umano. L'esplosione dell’hype nel mercato intorno al termine è strettamente legata ai progressi nel deep learning e nelle scienze cognitive, ma l'intelligenza artificiale abbraccia una varietà di algoritmi e metodi che sono alla base della tecnologia.

Un'applicazione di intelligenza artificiale, infatti, non richiede le più nuove tecnologie per essere considerata tale. Le sue funzioni principali sono la raccolta di un’enorme quantità di informazioni e l’abilità di prendere decisioni autonome volte a massimizzare le chance di successo. 

Sebbene il potenziale dell’intelligenza artificiale sia eccitante, non mancano le preoccupazioni, tra cui la principale è quella degli utenti che vedono messi a serio rischio i loro dati personali quando li danno in pasto a sistemi informatizzati volti a generare lead per le aziende. In nessun altro luogo è più "citata" la preoccupazione nata dallo stretto collegamento tra la privacy dei dati e l'intelligenza artificiale rispetto al Regolamento generale sulla protezione dei dati dell'Unione Europea: il GDPR.

 

Considera alcuni punti salienti di questo report CMO:

  • Nell'immediato futuro, i dirigenti aziendali saranno alla ricerca di soluzioni di intelligenza artificiale per alleggerire il carico di compiti ripetitivi, come la stesura di documenti (82%), programmazione temporale (79%) o la pianificazione delle attività (78%) 
  • L'80% dei dirigenti ritiene che l'intelligenza artificiale aumenti la produttività delle imprese
  • Entro il 2025, il mercato dell'intelligenza artificiale supererà i 100 miliardi di dollari

L’intelligenza artificiale è già utilizzata in ogni settore e sta facendo passi da gigante nei suoi progressi tecnologici, nonché nel rendere le aziende più produttive.

Che si operi nel B2B o nel B2C, ogni azienda dovrebbe avere al centro delle proprie strategie la crescita del business, ma soprattutto i clienti.

Le aziende più attente che si lasciano guidare dai dati nella pianificazione strategica possiedono degli strumenti dotati di intelligenza artificiale, tra cui sicuramente un efficace CRM che prendiamo da esempio.

Il Customer Relationship Management è il database che custodisce i dati sensibili dei clienti che vengono ricavati principalmente in due modi: compilazione manuale o compilazione automatizzata.

La compilazione automatizzata avviene quando il CRM ricava i dati dai form compilati dagli utenti sulle landing page, quando questi si iscrivono alla newsletter, o contattano l’azienda tramite email.

Il form, il lead flow, l’email di follow up o l’iscrizione alla newsletter non sono altro che touch-point che raccolgono altri dati dagli utenti e li memorizzano nel CRM.

Siamo in un’era in cui strumenti simili sono sempre più efficaci e le campagne marketing associate (soprattutto quelle di inbound) sempre più efficienti.

Gli aspetti legali connessi a tali tecnologie riguardano principalmente la protezione dei dati personali degli utenti, i quali sono sempre più preoccupati di come questi vengono trattati dalle aziende.

Sono numerosi, inoltre, i data breach che in ambito cybersecurity si pongono come altro motivo ostacolante il rilascio di dati personali.

Sebbene il trend sembri dichiarare diversamente, una buona fetta di utenti non è consapevole dei rischi che si corrono online né è abbastanza attenta.

Prendendo ad esempio le persone che si connettono da casa, secondo un sondaggio di McAfee, solo il 37% degli utenti intervistati utilizza una soluzione che protegga la loro identità online e almeno 1/3 dei genitori non monitorano l’utilizzo dei dispositivi digitali utilizzati dai loro figli.

Lo stesso vale per le aziende, che si affidano a soluzioni di software che, per la loro natura centralizzata, sono soggetti ad attacchi hacker se non dotati di forti sistemi di sicurezza.

Considerazioni simili sono fatte semplicemente perché, fino ad oggi, la regolamentazione sulla privacy degli utenti non la garantiva a pieno.

GDPR: la soluzione a tutti i mali?

Sebbene non sia la soluzione che porrà rimedio agli attacchi informatici volti a rubare le identità degli utenti, il General Data Protection Regulation (GDPR) fa molta chiarezza sull’utilizzo dei dati sia per le aziende che per le persone fisiche.

 


“Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.”

Art. 2, par. 1


 

I motivi principali per cui il regolamento è cambiato dal 2016 ad oggi sono:

  • L’aumento dei flussi transfrontalieri (e quindi dei dati personali scambiati)
  • L’aumento della condivisione e della raccolta di dati personali
  • La necessità di facilitare maggiormente la libera circolazione dei dati personali all'interno dell'Unione Europea garantendo al tempo stesso un elevato livello di protezione dei dati personali
  • L’armonizzazione delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l'Unione Europea
  • L'esigenza di un clima di fiducia al fine dello sviluppo dell'economia digitale in tutto il mercato interno per incoraggiare altresì i mercati ed il business
  • La rapidità dell'evoluzione tecnologica e della globalizzazione

In quest’ultimo punto si trova la correlazione tra il GDPR e intelligenza artificiale, perché i dati lasciati online relativi alle persone stanno diventando sempre più dettagliati e poiché la tecnologia consente una raccolta e un'elaborazione sempre più potente di questi, i consumatori diventano più cauti nel condividere le informazioni e vogliono avere maggiore controllo su di esse.

La maggioranza dei cittadini dell'UE ritiene inaccettabile che le proprie attività online siano monitorate e che le società condividano informazioni su di essi.

È importante ricordare che la ragione fondamentale alla base del GDPR coincide con le richieste della popolazione europea per il rispetto dei loro diritti alla privacy.

Articolo 22: profilazione e decisioni automatizzate

L’intrusione sempre più forte dell’intelligenza artificiale nelle nostre vite è tale da aver permesso la redazione di un intero articolo del regolamento che, attraverso una lettura incrociata con il resto delle direttive e l’analisi delle eccezioni della sua applicazione, impone una modifica notevole nel trattamento dei dati personali degli utenti negli attuali sistemi dotati di intelligenza artificiale.

 


“L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.”

Art. 22, par. 1


 

In modo sintetico, l’articolo 22, prevede che:

  1. Come da regola, c’è un divieto generale sulle decisioni completamente automatizzate sugli individui che hanno effetti legali su di essi o che ne vadano a minare la loro libertà (inclusa la profilazione, ossia l’utilizzo di algoritmi)
  2. Ci sono eccezioni alla regola (analizzate più sotto)
  3. Quando si applicano tali eccezioni, devono esistere misure volte alla salvaguardia dei diritti e delle libertà e dei legittimi interessi dei dati degli individui

Le automatizzazioni che producono decisioni ad effetti legali

Partiamo da un esempio.

Una banca basa l’accesso ad un credito per un prestito ai propri clienti basandosi, generalmente, su determinati parametri di essi (le garanzie richieste) e decide di utilizzare un sistema che automatizza la decisione (credito si o no ad un cliente) sulla base dei dati raccolti su di essi e infine rilascia o meno il credito in maniera automatizzata.

Sostanzialmente, la banca si dota di un software dotato di intelligenza artificiale che raccoglie i dati dei clienti (il reddito, l’età, le generalità, la busta paga ecc.), collegandolo alla pagina di prodotto “prestito” del suo sito web (o dell’app) e fa compilare un form (oppure, richiede i dati in fase di registrazione sul sito web per accedere a tutti i prodotti e servizi, o utilizzando i dati precedentemente rilasciati dai clienti) e infine decide se dare o meno il credito.

In caso il software (che in questa maniera risponde solo a regole IF...THEN basiche dell’intelligenza artificiale) si doti di un algoritmo di machine learning, allora questo (o meglio detto, la banca), sta profilando gli utenti (le persone) sulla base dei loro dati personali e sta automatizzando le decisioni che hanno effetti legali su di essi.

Secondo l’articolo 22 (non considerando le eccezioni), ciò è vietato perché il cliente ha il diritto di vedere tutelati i suoi dati personali.

Le automazioni che producono decisioni minanti la libertà degli individui

Oltre alle decisioni automatizzate del primo tipo, quelle che ledono la libertà degli individui sono potenzialmente infinite, dato lo sviluppo tecnologico a cui stiamo assistendo.

Chiariamo, per capire meglio, il concetto di profilazione.

La profilazione secondo il GDPR

L’articolo 4 del GDPR definisce la profilazione come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica.”

Nelle linee guida riguardanti il GDPR e intelligenza artificiale prodotte dal Gruppo di lavoro articolo 29 (istituito dall'art. 29 della direttiva 95/46, quella adesso aggiornata) si afferma:

“L’utilizzo del verbo “valutare” suggerisce che la profilazione coinvolga qualche forma di accertamento o giudizio riguardo una persona. Una semplice classificazione di individui basata su caratteristiche conosciute come l’età, il sesso e l’altezza non necessariamente sono connesse alla profilazione. Questo dipenderà dallo scopo della classificazione.

Per esempio, un’azienda che volesse classificare i suoi clienti in base alla loro età o il sesso per usi statistici e acquisire una panoramica generale su di essi senza fare alcuna previsione o arrivare a nessuna conclusione, non va a giudicare le caratteristiche individuali, di conseguenza non sta profilando.”

Se, in sostanza, l’intelligenza artificiale viene utilizzata per prevedere un comportamento o giungere a conclusioni sulla base di dati personali (e quindi suggerire un prodotto o un servizio, o varianti dello stesso), allora la tecnologia sta profilando gli utenti, di conseguenza va a ledere la loro libertà di scelta.

Per quale motivo?

Semplicemente perché, se l’intelligenza artificiale “sceglie” di rendere visibili solamente determinati contenuti ad un cluster definito di utenti, li influenza nei loro futuri acquisti e potrebbe “minare la loro libertà di scelta, ad esempio, di certi prodotti o servizi come libri, musica o newsfeed [...] portando alla negazione di prodotti e servizi o discriminazione ingiustificata.”

Il tutto è poco chiaro, dal momento che queste affermazioni andrebbero a destabilizzare una cosa tanto cara ai business: la segmentazione.

Secondo queste condizioni, potremmo dire addio al retargeting, all’inbound marketing o all’intelligenza artificiale, ma un modo per tutelare la privacy degli utenti mantenendo in piedi queste tecnologie in linea con le nuove direttive del GDPR è nelle eccezioni dell’articolo 22.

Le eccezioni in cui non si applica la regola

Il paragrafo 1 dell’articolo 22 che lega il GDPR e intelligenza artificiale non si applica se:

  • l’interessato dimostri un consenso esplicito al trattamento automatizzato dei suoi dati

Prima di essere esplicito, il consenso deve:

  • Essere esplicito per i dati sensibili
  • Non necessariamente documentato per iscritto
  • Libero (cioè con possibilità di sottrarsi al trattamento)
  • Specifico (consenso dato per determinati scopi)
  • Informato (basato su informazioni del trattamento ricevute a priori)
  • Inequivocabile (che sia una firma digitale o un gesto di fronte ad una videocamera)

Per il GDPR, si parla di consenso esplicito perché il consenso deve essere ottenuto per tutte le fasi del trattamento dei dati personali, di conseguenza, ciò che è anche imposta è la spiegazione (l’informazione data a priori sul trattamento) dell’algoritmo di intelligenza artificiale (o della sua ratio).

  • Il trattamento risulti necessario per la definizione di un contratto

I titolari del trattamento (le aziende) potrebbero voler utilizzare la profilazione e l’automatizzazione dei processi decisionali per questi motivi:

  • Consentire potenzialmente una maggiore coerenza o equità nel processo decisionale (ad esempio riducendo il potenziale di errore umano, discriminazione e abuso di potere)
  • Ridurre il rischio che i clienti non riescano ad effettuare pagamenti per beni o servizi
  • O consentire loro di prendere decisioni in tempi più brevi e migliorare l'efficienza

Secondo le autorità della protezione dei dati dell’UE, la parola “necessità” per la definizione di un contratto va interpretata in senso stretto.

In particolare, “Il titolare del trattamento deve dimostrare che questa profilazione è necessaria, cosciente della possibilità che potrebbe essere adottato un metodo che invade meno la privacy.”

Per le disposizioni appena più sopra, se un'attività di automatizzazione migliora l’efficienza di un processo, allora l’azienda è sufficientemente in linea con il GDPR, ma deve comunque dimostrare che non ci sono altri metodi che raggiungono lo stesso risultato ma che sono meno intrusivi.

Se, ad esempio, un utente acquista beni o servizi online e il venditore dichiara che utilizza una profilazione automatizzata per raccogliere i dati della carta di credito, il suo acquisto non verrà cumulato con gli altri per identificare gli interessi e i gusti dell’interessato e permettere dunque all'algoritmo di intelligenza artificiale dell'eCommerce di suggerire prodotti basandosi su questi dati.

La profilazione utilizzata in questo caso, non lede la privacy perché non è necessaria per la definizione del contratto.

  • Il trattamento automatizzato sia effettuato in base a specifiche cogenti

Potrebbero esserci casi in cui vi sarà un obbligo legale di eseguire la profilazione, ad esempio in relazione alla prevenzione delle frodi o al riciclaggio di denaro.

Come adeguare l’intelligenza artificiale al GDPR?

Mentre tutte queste regole del GDPR sono scoraggianti per le organizzazioni che hanno utilizzato l'analisi "tradizionale" per anni (Google Analytics et similia), l'utilizzo dell'intelligenza artificiale nell'ambito della profilazione e dell'analisi pone ancora più sfide.

Consideriamo alcuni aspetti imposti dal GDPR in relazione a quanto già descritto più sopra:

  • Definire il consenso informato (prova che la società ha il consenso della persona per elaborare i propri dati personali)
  • Capacità di registrare e presentare agli ispettori (quando richiesto) i dettagli sull'uso della profilazione (vale a dire, l'uso di caratteristiche personali o modelli di comportamento per fare generalizzazioni su una persona)
  • Capacità di ritirare il consenso dagli algoritmi di profilazione
  • Scoprire potenziali imparzialità negli algoritmi (i pregiudizi ereditati dall'essere umano).
  • Presupporre che il giudizio umano sia coinvolto in ogni decisione di profilazione.

Alcuni si chiedono, date le disposizioni, se l’intelligenza artificiale possa ritenersi vulnerabile al GDPR, ma non crediamo sia questo il caso, anzi, è possibile cogliere alcune opportunità.

Le organizzazioni hanno diverse domande comuni:

  • Come può essere gestito il consenso nell’ambito dell’intelligenza artificiale?
  • È possibile trovare dettagli del profilo di un utente all'interno degli algoritmi?
  • In che modo gli algoritmi di intelligenza artificiale sono imparziali e come è possibile rimediare?
  • Come si possono coinvolgere gli esseri umani nell'intelligenza artificiale quando la natura stessa della tecnologia consiste nel permettere che le macchine agiscano e decidano da sole?

I sistemi di intelligenza artificiale estraggono analisi dai dati che ricevono e la loro intelligenza non potrà considerare fattori esistenti al di fuori di questi.

Questo significa che il sistema posseduto dalla tua azienda non andrà mai ad adeguarsi magicamente al GDPR, a meno che non sia il tuo responsabile IT insieme alla sua squadra a farlo, iniziando ad analizzare ogni funzione e conseguenza retrostante l’automatizzazione ed individuare le azioni di consenso da presentare in futuro all’utente come parte del framework di data management adottato internamente sin dalla fase di progettazione del “nuovo” sistema.

Allo stesso modo, l’intelligenza artificiale non potrà maneggiare i pregiudizi presenti nei dati così come facciamo noi umani imparando dalle interazioni: dovrà impararlo con dei dati che includono pregiudizi e bisognerà insegnargli a trattarli nella maniera più appropriata.

I processi organizzativi devono riflettere uno standard per la governance dei dati per garantire che i processi legali per ottenere il consenso siano appropriatamente catturati all'interno del framework di gestione dei dati di un'azienda.

Questo richiede che persone, processi e tecnologia siano tutti allineati ai requisiti di conformità che implicano il consenso del trattamento dei dati personali dei clienti.

 

intelligenza artificiale e gdpr

 

Cosa fare per allineare GDPR e intelligenza artificiale?

Per capirlo, partiamo dalle garanzie che devono esserci per l’interessato al trattamento dei dati come da normativa:

  • Diritto di opporsi alla decisione presa in base ad un trattamento automatizzato
  • Diritto di ottenere l’intervento umano rispetto a questa decisione
  • Se il trattamento è finalizzato ad un’attività di marketing diretto, l’interessato può sempre opporsi alla profilazione

In linea di massima, per un’azienda, per essere totalmente adeguata al GDPR secondo la normativa comunitaria, dovrebbe garantire:

  • Trasparenza totale (su quali dati saranno trattati)
  • Minimizzazione dei dati richiesti (ossia, tralasciare qualsiasi altro dato superfluo non utile al trattamento)
  • Scopi e limiti di utilizzo (dichiarare per quali scopi i dati verranno trattati e come saranno utilizzati)
  • Sicurezza (da garantire con la crittografia e l’anonimizzazione)
  • Accuratezza (non sono ammessi errori nei dati)
  • Conservazione (dei dati non oltre il tempo necessario al termine del trattamento)
  • Cancellazione (che sia richiesta dall’utente o che avvenga alla fine di un trattamento)

Se sei un marketer che utilizza strategie di inbound marketing, tutto ciò potrebbe scoraggiarti, ma non è così. Ti consigliamo infatti di approfondire l'argomento: inbound marketing e GDPR

Non solo, infatti, si possiederà un database da targetizzare più pulito e segmentato di buyer persona, ma diversi problemi legati alla profilazione degli utenti verranno risolti grazie proprio al consenso esplicito da richiedergli quando “atterreranno” sulle landing page e compileranno i form.

Lo stesso consenso dovrà essere revocabile da parte dell’utente con la stessa semplicità con cui l’ha fornito (così come attualmente è già possibile fare alla fine del corpo di ogni mail inviata a fini di campagne di email marketing).

Probabilmente, uno dei principali cambiamenti del GDPR in ambito intelligenza artificiale che richiede lo sforzo maggiore, è la possibilità per l’utente di richiedere l’intervento umano sulle decisioni effettuate dalla tecnologia, soprattutto in quelle aree di business dove un consenso porta ad effetti legali per l’interessato.

Privacy by design: l’adeguamento definitivo?

Il GDPR, come detto, va a vantaggio sia delle aziende (che si adeguano legalmente alle direttive sulla protezione della privacy) che degli utenti (che hanno chiaro in che modo i loro dati vengono utilizzati in maniera semplice sin dall’inizio di un qualsiasi rapporto intrapreso con un’azienda).

Con l’operatività del regolamento, le persone fisiche saranno ancor di più al centro delle strategie aziendali, in un mondo in cui i business sono sempre più orientati alla soddisfazione del cliente.

Il GDPR entra in un’era in cui la customer satisfaction è prevalsa dalla customer experience, accuratamente disegnata per semplificare la fruizione dell’offerta di un’azienda (oltre che a riservargli un’esperienza emotiva e differenziata dalle alternative).

Proprio per questo motivo, un’azienda attenta al cliente troverà vantaggioso adeguarsi al GDPR, che non fa altro che inserire un nuovo processo volto alla protezione dei dati dei clienti per garantirgli ancor di più un’esperienza trasparente, sicura e in ultimo soddisfacente.

Proprio su questi obiettivi venne sviluppato il concetto del Privacy by Design (adottato dopo il PET, Privacy Enhancing Technologies), ideato dalla Dott.ssa Ann Cavoukian (ex commissario dell’informazione e della privacy di Ontario) e che viene sostenuto come requisito dal GDPR nell’articolo 25.

 


“Protezione dei dati fin dalla progettazione (by design) e per impostazione predefinita (by default)”.


 

Il GDPR impone che “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che i dati siano trattati per impostazione predefinita”, così come sancito dai sette principi del Privacy by Design:

1. Proattivo, non reattivo; preventivo, non correttivo

Il trattamento e le misure relative dovrebbero essere prese a prescindere dagli eventi che si potrebbero verificare sin dalla prima fase di progettazione di una soluzione ICT, in modo da garantire preventivamente la privacy degli utenti.

2. Privacy come impostazione predefinita

Disegnando dal principio un sistema volto a proteggere in maniera predefinita i dati personali degli utenti, per qualsiasi azione questi possano intraprendere attraverso l’utilizzo della tecnologia la loro privacy sarà tutelata a priori.

3. Privacy incorporata nella progettazione

Il Privacy by Design fa in modo che la privacy sia oggetto delle tecnologie e dei processi aziendali fin dalla progettazione di questi. Il risultato è che la privacy diventa una componente essenziale delle funzionalità principali fornite diventando parte del sistema, ma non andrà a diminuire la sua efficacia.

4. Completa funzionalità; somma positiva, non somma zero

Il Privacy by Design cerca di soddisfare tutti gli interessi e gli obiettivi legittimi con un approccio “win-win” in termini di somma positiva, non attraverso un approccio datato, a somma zero, in cui vengono fatti inutili compromessi. Il Privacy by Design evita la pretesa di false dicotomie, come la privacy e la sicurezza, dimostrando che è possibile averli entrambi.

5. Sicurezza totale; protezione completa del ciclo di vita

Il Privacy by Design, essendo stato incorporato nel sistema prima che il primo dato venisse raccolto, si estende in modo sicuro lungo l'intero ciclo di vita dei dati coinvolti: forti misure di sicurezza sono essenziali per la privacy, dall'inizio alla fine. Ciò garantisce che tutti i dati vengano conservati in modo sicuro e quindi distrutti in modo sicuro alla fine del processo in modo tempestivo. Pertanto, il Privacy by Design garantisce una gestione delle informazioni sicura “dalla culla alla tomba”, in piena ottica end-to-end.

6. Visibilità e trasparenza

Il Privacy by Design assicura a tutti gli stakeholder che qualunque sia la tecnologia o la pratica aziendale coinvolta nel processo, questa opera secondo le premesse e gli obiettivi dichiarati, che sono soggetti a verifica da parte dell’uomo.

7. Rispetto della privacy dell’utente; visione centrale sull’utente

Sopra ogni cosa, il Privacy by Design richiede agli architetti e agli operatori di mantenere gli interessi dei singoli offrendo misure come forti impostazioni predefinite sulla privacy, informazioni appropriate e potenziamento delle opzioni user-friendly.

Migrando i principi nel campo dell’intelligenza artificiale, i sistemi dovrebbero essere progettati con questi approcci:

  • Mettere la privacy nei radar dei tuoi ingegneri è un ottimo punto di partenza. Parlane con loro e individua i suggerimenti.
  • Avere il controllo su chi accede ai dati e su come si accede a tali dati è molto importante, in quanto questo è stato alla base di alcune delle passate violazioni dei dati.
  • La minimizzazione dei dati è fondamentale per proteggere le informazioni di identità personale, il che significa che si dovrebbe raccogliere ed elaborare la quantità minima e indispensabile di dati.
  • È fondamentale fornire un modo semplice per rimuovere alcuni dei dati forniti su richiesta dell’utente. Successivamente, adattare i modelli sui dati aggiornati per evitare la memorizzazione accidentale delle parti rimosse.
  • L'uso di forti tecniche di anonimizzazione (vale a dire pseudonimizzazione) per i dati personali, l'aggregazione dei dati e le tecniche di crittografia sono assolutamente cruciali.
  • Fai attenzione a quelli che non sono dati personali (ad esempio genere, codice postale, professione, lingue parlate), ma che se aggregati possono identificare le persone. Latanya Sweeney ha dimostrato che la combinazione di tre soli dati di questo tipo ha permesso di identificare l'87% della popolazione degli Stati Uniti.
  • Quando l'intelligenza artificiale è coinvolta nel prendere decisioni sulle persone, è essenziale (come richiesto dal GDPR) fornire informazioni sulla logica coinvolta (banalmente, illustrando l’albero decisionale dell’algoritmo).
  • L'intelligenza artificiale sta crescendo rapidamente, quindi è necessario integrare la privacy e adeguare misure tecniche e organizzative in modo che i problemi di privacy non influiscano negativamente sulla sua crescita, ma conducano a risultati positivi.

Privacy garantita: il nuovo modo predefinito di operare

Tutto sommato, la privacy non può essere assicurata solo dal rispetto del GDPR o di altre leggi e regolamenti che sono in grado di affrontare solo la punta dell'iceberg sulla protezione della privacy.

Il nuovo regolamento, infatti, non fornisce suggerimenti o tutele in caso di violazione di dati, né indica modi o tecnologie per prevenirli.

Proprio per questo motivo, dare uno sguardo alle tecnologie innovative che garantiscono una sicurezza maggiore dei dati rilasciati dagli utenti delle tecnologie aziendali è complementare e ormai necessario, soprattutto per le grandi aziende.

La blockchain, ad esempio, potrebbe essere la soluzione definitiva ai data breach: per la sua natura decentralizzata e distribuita, infatti, ogni blocco di dati generato attraverso la tecnologia è inattaccabile o inalterabile.

Per avere una completa garanzia della privacy per gli utenti, un'ottica che preveda l'utilizzo di tecnologie di sicurezza avanzate e concetti come il Privacy by Design dovrebbero essere la modalità predefinita di operare dell'azienda.

Integrando la privacy come elemento essenziale nei sistemi informatici e nei processi aziendali sin dalla loro progettazione, possiamo prevenire al meglio i danni derivanti dall'eventualità di violazioni dei dati.

Il Privacy by Design è accessibile a tutti e sarà il punto da cui le organizzazioni che costruiscono la propria attività conforme al GDPR dovrebbero partire.

Inizia da queste domande:

  • Che cosa può accadere ai dati personali e perché?
  • Quali sono le conseguenze per i dati personali?
  • Qual è la probabilità che l’evento si verifichi?
  • Quali fattori possono mitigare le conseguenze del rischio sui dati Personali?
  • Questi fattori possono ridurne la probabilità?
  • Il livello di rischio sui dati personali è accettabile?

Che tu ti trovi ad introdurre un sistema di intelligenza artificiale all’interno della tua azienda o che ne possiedi già uno (in tal caso, una valutazione dell’impatto sulla privacy degli utenti dei tuoi sistemi deve precedere qualsiasi azione, come esplicitamente richiesto), adeguarti al GDPR dovrebbe essere la priorità assoluta di questo 2018 per la tua azienda.

 


Vuoi approfondire i migliori metodi per adeguare i tuoi sistemi di intelligenza artificiale al GDPR?

CONTATTACI PER UNA CONSULENZA GRATUITA »

Ora è il tuo turno: lascia un commento

 

 

ombrina.jpg

Sei un imprenditore o un marketer in cerca di risultati?

 

 

 

© Adv Media Lab, Riproduzione riservata